Cellebrite et Signal sont donc de part et d'autre du front idéologique. La solution de Cellebrite est utilisée par les forces de l'ordre du monde entier pour accéder aux données que les utilisateurs souhaitent garder confidentielles, y compris les communications de Signal. Le but de Signal est de s'assurer que la correspondance de chat n'est accessible à personne d'autre que les abonnés. Le lien le plus vulnérable dans cette communication est le smartphone de l'utilisateur: si vous avez accès à l'appareil déverrouillé, vous pouvez voir toute la correspondance. Le créateur de Signal a eu accès à l'appareil Cellebrite par des moyens inconnus et a trouvé des vulnérabilités dans son logiciel.
Comment il a réussi à obtenir l'appareil, Moxie ne l'explique pas, plus précisément, explique vaguement: il marchait dans la rue, et ici sur vous, un ensemble complet d'analyse des téléphones portables se trouve sur l'asphalte. Naturellement, les fabricants de telles pièces ne donnent accès à leurs équipements qu'à des organisations de confiance, et Signal n'en fait pas partie. Le chercheur a analysé un logiciel qui, en fonction du problème, comprend de nombreux analyseurs de données provenant de différentes applications. De tels gestionnaires sont dans tous les cas un terreau fertile pour les vulnérabilités, et l'ensemble des codecs ffmpeg est donné à titre d'exemple. Ces bibliothèques sont utilisées par le logiciel d'analyse multimédia de Cellebrite UFED, et Moxie a découvert une version 2012 obsolète. Depuis lors, plus d'une centaine de correctifs de sécurité ont été publiés pour ffmpeg.
En conséquence, sans trop de difficulté, Moxie a trouvé une vulnérabilité qui conduit à ce qui suit: si le complexe Cellebrite lit un fichier «préparé» sur le téléphone, il devient possible de remplacer les données dans le rapport généré. Et même modifiez les rapports précédents ou garantissez des changements aux rapports futurs. C'est un indice épais que Moxie a pu obtenir le contrôle total du logiciel grâce à une vulnérabilité dans l'analyseur de données. À la fin de la publication, Marlinspike signale que la dernière mise à jour de Signal messenger contiendra un fichier supplémentaire qui n'a absolument aucun effet sur les fonctionnalités. Le fichier n'est pas du tout intéressant, il est recommandé de ne pas y faire attention. Autrement dit, il est possible (bien que cela ne soit pas directement mentionné) que l'analyse du téléphone avec le messager Signal installé puisse gâcher les données générées par le complexe pour collecter des preuves.
Et c'est, bien sûr, une histoire très étrange. Premièrement, il est d'usage de signaler les vulnérabilités au fabricant afin qu'elles puissent être réparées. Les utiliser à votre avantage est le lot du côté obscur. Et le fait que vous n'aimiez personnellement pas les logiciels avec une vulnérabilité pour une raison quelconque n'est pas un argument pour de telles actions. Deuxièmement, que se passe-t-il - un exploit sera distribué avec un messager légitime? Supposons que le créateur de Signal plaisantait. Ou pas? Dans tous les cas, il s'agit d'un exemple intéressant de pression morale sur un adversaire idéologique, bien que complètement en dehors des limites de l'éthique normale des hackers. En général, il nous dit qu'il vaut la peine de penser à la sécurité même des outils qui sont utilisés bien au-delà des lignes de protection du réseau d'entreprise. Ce sont eux qui, dans certaines circonstances, peuvent s'avérer être le maillon le plus faible.
Que s'est-il passé d'autre
Enquête sur les vulnérabilités des systèmes de sécurité avec un triste résultat: les problèmes découverts par Eye Security permettent de désarmer une pièce à distance. Plus de dix mille installations (principalement en Allemagne) ont été touchées, un millier seulement réparées.
Le programme de stockage des mots de passe Passwordstate a été piraté et les attaquants ont distribué des logiciels malveillants parmi ses utilisateurs. 29 mille clients ont été touchés. Le schéma est classique: le serveur de mise à jour a été compromis, un fichier exécutable modifié a été envoyé à travers lui.
Trouvé et fermévulnérabilité triviale dans l'application pour le réseau social Clubhouse: la fondatrice de Luta Security Katie Moussouris (Katie Moussouris) a trouvé un moyen de rester dans la salle, en étant invisible pour les modérateurs, sans possibilité d'interdiction. L'attaque a fonctionné pour les chats vocaux auxquels l'utilisateur malveillant avait déjà été admis.
Les fuites d'informations sur les ordinateurs portables Apple non encore commercialisés ne sont généralement pas un sujet d'actualité sur la sécurité de l'information. Mais la semaine dernière, ces données se sont répandues sur le réseau à la suite d'une attaque contre le fournisseur d'Apple, Quanta. Les organisateurs de l'attaque ont fait pression sur l'organisation touchée (ou sur Apple elle-même) en publiant certaines des informations volées dans le domaine public.
Responsable du noyau Linux Greg Kroah-Hartman bloqué tous les commits du personnel de l'Université du Minnesota. Cela s'est produit après la publication d'une étude dans laquelle les auteurs (également des employés de l'université) ont tenté de pousser du code sciemment vulnérable dans le noyau Linux et évalué la capacité à déterminer la présence d'erreurs. Résultat de la recherche (source en PDF ): dans 60% des cas, le code de la courbe a été accepté.